内网渗透1

一、信息收集 域环境？ or 工作组环境？ 当我们通过 Web 漏洞或者其他的⼿段获取到了⼀个命令执⾏的⼝⼦后，我们想要对当前服务器进⾏深层次的内⽹ 渗透，那么必须得知道当前机器所在的环境是工作组 还是 域 ，因为两种环境的攻击⼿法不同，所以我们需要根据 不同的环境来做不同的处理！ 判断是否在域内 1、查看当前网卡和IP信息： ipconfig /all 2、查看系统详细信息： systeminfo 3、查看当前登录域及域用户 net config workstation 4、查看域内时间 net time /domain 分清楚是域还是⼯作组后，我们就可以对当前机器进⾏信息搜集了。 获取本机网络配置信息 ipconfig /all 查询操作系统和版本信息 systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查看系统体系结构 echo %PROCESSOR_ARCHITECTURE% 查看按照的软件以及版本、路径 wmic product get name,version 查看本机服务信息 wmic service list brief 查看进程列表 1、查看当前进程列表和软件进程

tasklist

2、查看当前进程列表对应的用户身份

tasklist /v

3、查看当前进程是否有杀毒软件（AV）

tasklist /svc

查看启动程序信息

wmic startup get command,caption

查看计划任务

schtasks /query /fo LIST /v

查看主机开机时间

net statistics workstation

查看有哪些用户

net user

查看当前在线用户

query user || qwinsta

查看本机端口开放情况

netstat -ano

查询补丁信息

systeminfo

wmic qfe get Caption,Description,HotFixID,InstalledOn

查询路由表及所有可用接口的ARP缓冲表

route print

arp -a

查看防火墙配置

netsh firewall show config

域内信息收集

搜集完本机的⼀些配置信息、IP信息、⽹卡信息、补丁信息后，我们接下来就要搜集域内的信息了，⽐如：域⽤ 户、域管理员、域控制器等信息。

获取域SID

whoami /all

查询域内用户

net user /domain

查询域用户的详细信息

假如查询  xmy这个域用户的信息

net user  xmy /domain

查询域列表（如果有多个域）

net view /domain

查询域管理员列表

net group "domain admins" /domain

查看域内时间（时间服务器）

net time /domain

查看登录本机的域管理员

net localgroup administrators /domain

查看域内所有用户组列表

net group /domain

查看主域控制器

netdom query pdc

查看所有域控制器列表

net group "Domain Controllers" /domain

查询域信任信息

nltest /domain_trusts

查询域密码信息

net accounts /domain

搜集当前机器各类敏感密码配置⽂件 dir 命令搜集当前机器各类敏感密码配置⽂件

⼀般配置⽂件或者密码⽂件都是：

*,pass.*,config.*,username.*,password.*

for 循环搜集当前机器各类敏感密码配置⽂件

还可以通过 for 循环来查找，例如查找匹配 pass ⽂件：

for /r c: %i in (pass.*) do @echo %i

findstr 命令查找某个⽂件的某个字段

想要查找⼀个⽂件⾥有没有 user 、 pass 等字段内容

findstr /c:"user" /c:"pass" /si *.txt

二、一些概念 域信任

域是安全边界，若⽆信任关系，域⽤户帐户只能在本域内使⽤。信任关系在两个域之间架起了⼀座桥梁，使得域⽤ 户帐户可以跨域使⽤。 确切地说就是：信任关系使⼀个域的 DC（域控制器） 可以验证其他域的⽤户，这种身份验证需要信任路径。

域委派

域委派是指将域内部⽤户的权限委派给服务账号，使⽤服务账号能以⽤户的权限在域内展开活动。 ⽐如在域中如果出现⼀种使⽤ Kerberos 身份验证访问域中的服务B，⽽服务B再利⽤A的身份去请求域中的服务 C，这个过程就可以理解为委派。 委派主要分为⾮约束委派 (Unconstrained delegation) 和约束委派 (Constrained delegation) 两个⽅式， 还有⼀种是基于资源的约束委派（ Resource Based Constrained Delegation ）。 ⽽通过⾮约束委派攻击我们就可以通过 TGT 去获取到 AD 或者其他域内服务主机的权限，⾄于什么是 TGT 我也 会单独写⼀篇来讲解域内的每⼀个协议，⼤家只需要初步的认为非资源约束委派可以帮助我们拿到其他主机的权限就好。

DCSync是域渗透中经常会用到的技术

域渗透——DCSync_systemino的博客-CSDN博客_dcsynchttps://blog.csdn.net/systemino/article/details/97951619

 三、提权 溢出漏洞提权

计算机有个地⽅ 叫缓存区，程序的缓存区⻓度是被事先设定好的，如果⽤户输⼊的数据超过了这个缓存区的⻓度，那么这个程序就 会溢出了，缓存区溢出漏洞主要是由于许多软件没有对缓存区检查⽽造成的，通过溢出我们就可以去执⾏命令。

MS16-032 提权

通过 MS16-032 漏洞我们可以以⼀个普通⽤户的身份，去添加⼀个administrator管理员组的⽤户，还可以以 SYSEM 系统权限的身份去运⾏⼀个程序。

 四、用到的工具 1、BloodHound

利用BloodHound分析域中的攻击路径 - 先知社区 (aliyun.com)https://xz.aliyun.com/t/7311

 相关资料

《内网安全攻防》学习笔记，第二章-域内信息收集 - 云+社区 - 腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1665868

黄金票据（Golden Ticket）攻击 - 云+社区 - 腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1760133白银票据（Silver Ticket）攻击 - 云+社区 - 腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1760135